©LDI NRW

Seit ChatGPT gibt es einen regelrechten Hype um KI. Wie erklären Sie sich die Faszination oder Begeisterung, die KI offenbar bei vielen Menschen auslöst?

Das hat sicher unterschiedliche Gründe und hängt stark davon ab, was die einzelne Person mit KI verbindet. Wer KI in der medizinischen Diagnostik einsetzt, wird wahrscheinlich über dieses sinnvolle Hilfsmittel hoch erfreut und vielleicht auch von guten Ergebnissen fasziniert sein. Wer selbst Fragen durch eine KI, wie beispielsweise ChatGPT, beantworten lässt, wird bei Standardfragen über recht brauchbare Texte staunen. Bei komplizierteren oder selten nachgefragten Informationen sind Antworten aber manchmal blödsinnig und falsch. Faszinierend und zugleich unheimlich kann ein Selbstlerneffekt von KI sein, der durch Bewertung von immer mehr Daten entsteht. Das wirkt wie der Geist aus der Flasche, der gar nicht mehr beherrscht werden und unabsehbare Folgen erzeugen kann.

Haben Sie schon persönliche Erfahrungen mit KI, z. B. ChatGPT gemacht?

Meine Behörde ist mit wissenschaftlichen Einrichtungen im medizinischen Bereich im Kontakt, die KI nutzen wollen. Hier ist die Berechtigung zur Verarbeitung von Gesundheitsdaten für das KI-Training das zentrale Thema. Wo diese Verarbeitung dem wissenschaftlichen Fortschritt in der Medizin dient, ist eine leichte Nutzung solcher Daten durchaus im Interesse der Allgemeinheit.

Wir hatten aber auch einzelne Forschungsvorhaben vorliegen, die sich mit KI zur Auswertung von Videoaufzeichnungen befassten. Dies ist ein sehr heikler Bereich. Solche Systeme sind äußerst bedenklich und in der Regel nicht zulässig, wenn sie zur allgemeinen Verhaltenskontrolle eigesetzt werden.

Wir befassen uns aktuell außerdem mit ChatGPT. Wir beteiligen uns an der Prüfung, die einige deutsche Datenschutzaufsichtsbehörden eingeleitet haben. Im Vorfeld haben wir uns natürlich auch die Funktionsweise aus der Perspektive der Nutzer*innen angesehen. Wir haben ChatGPT spaßeshalber nach mir befragt: Es hielt mich für eine Künstlerin und Informatikerin. Beides stimmt nicht, ich bin Juristin. Möglicherweise wurde aufgrund von Daten von Kolleg*innen aus anderen Ländern von ChatGPt angenommen, dass diese Informationen auch auf andere Datenschutzbeauftragte zutreffen könnten.

Sehen Sie grundsätzlich eher mehr Risiken oder mehr Chancen für die Gesellschaft durch „maschinelles Lernen“?

Ich sehe sowohl Chancen, als auch Risiken. Ich denke, dass die Chancen sehr groß sein können, beispielsweise in der von mir schon erwähnten medizinischen Forschung oder um die Sicherheit beispielsweise in der Fahrzeugtechnik zu erhöhen. Die Risiken sind leider aber auch sehr hoch. Das betrifft vor allem die Einsatzbereiche, die Menschen oder menschliches Verhalten bewerten. Überall dort, wo viele Daten über Menschen gesammelt werden, um daraus Rückschlüsse auf Einzelpersonen oder deren Verhalten zu ziehen, stößt KI an ethische und rechtliche Grenzen. Der einzelne Mensch ist individuell – und eben nicht die Summe von Verhaltensweisen oder Daten vieler Menschen.

Damit die Risiken nicht überhandnehmen, ist ein hohes Verantwortungsbewusstsein bei denjenigen notwendig, die KI entwickeln oder einsetzen. Öffentliche Forderungen von Führungskräfte aus Unternehmen, die KI entwickeln, nach einer starken Aufsicht, lassen mich daran zweifeln, dass diese selbst das notwendige Verantwortungsbewusstsein an den Tag legen. In aller erster Linie sind die Unternehmen, die KI-Anwendungen entwickeln, selbst und schon jetzt gefordert, dabei vor allem die Grundrechte der Menschen zu achten. Das heißt unter anderem auch heute schon, dass der Datenschutz bei der Entwicklung von KI beachtet werden muss. Anwender und Entwickler von KI dürfen nicht darauf warten, dass ihnen eine starke Aufsicht Grenzen setzt, sondern sind selbst verantwortlich für die Einhaltung des Datenschutzes.

Unabhängig davon werden wir auch ein gesetzliches Regelwerk benötigen, das die mit KI verbundenen besonderen Gefahren beherrschbar macht und Verbote ausspricht, welche Ziele mit KI nicht verfolgt werden dürfen. Ein entsprechendes Gesetzgebungsvorhaben ist in der EU auf den Weg gebracht und wird dort diskutiert.

Und aus der Sicht der Datenschützerin? Wo sehen Sie „Knackpunkte“, die problematisch für den Datenschutz sein könnten – oder bereits sind?

Für mich ist KI immer dann von Interesse, wenn es um personenbezogene Daten geht. Wenn eine KI beispielsweise auf Basis rein technischer Daten die Standfestigkeit von Bauwerken überwacht, ist das nicht mein Metier. Als Knackpunkte möchte ich vor allem den Datenhunger von KI, den Nutzen von Daten für legitime Zwecke, die Validität von Daten, und die Aussagekraft der durch die KI generierten Annahmen nennen.

Datenschutz setzt zum Beispiel auf das Prinzip der Datensparsamkeit, während KI Datenhunger hat. Grundsätzlich dürfen personenbezogene Daten nur dann genutzt werden, wenn es gesetzlich erlaubt – also legitim – ist oder die betroffene Person ihre Einwilligung erteilt hat. Angesichts von KI-Entwicklungen rechne ich damit, dass ein hoher Druck auf die Gesetzgebungsorgane entstehen wird, mehr Datenverarbeitungen zu erlauben, die heute nur mit Einwilligung der Betroffenen möglich sind.

KI funktioniert je besser, je mehr Vergleichsdaten für eine Erkenntnis herangezogen werden können. Werden in der medizinischen Diagnostik viele sensible Gesundheitsdaten von Menschen genutzt, kann das auch Begehrlichkeiten in anderen Bereichen erzeugen. Wird auf solche Daten etwa durch die Versicherungswirtschaft zugegriffen, ist nicht unbedingt gesichert, dass eine solche Nutzung für Versicherte positive Auswirkungen hat. Wenn eine KI möglicherweise Verkehrskonzepte unterstützen soll, wird sie dazu Daten über die am Verkehr Teilnehmenden nutzen wollen. Solche Daten im für eine KI brauchbaren Umfang zu generieren, kann dazu führen, dass unsere Bewegungen im Verkehr nachvollziehbar und wir darin auch überwachbar werden. Es gibt also Chancen der Nutzung von vielen Daten für KI – aber auch Gefahren für die Personen, deren Daten genutzt werden. Unter Umständen können nur eine enge Zweckbindung und gesetzliche Nutzungsverbote zu befriedigenden Ergebnissen führen.

Es besteht auch die Gefahr, dass unsere Technikgläubigkeit dazu verleitet, einer KI-Bewertung einer Person mehr zu vertrauen, als unserer eigenen Wahrnehmung von der realen Person. Bei Verfahren zur Bewertung von Personen oder deren Verhaltensweisen müssen die Datenschutzbehörden auf die strikte Einhaltung des Datenschutzes besonders Acht geben, weil negative Effekte auf die Rechte der Betroffenen hier besonders groß sein können. KI, deren Ergebnisse auf unrichtigen, nicht validen Daten basieren, kann großen Schaden für die Betroffenen produzieren. In diesem Zusammenhang ist das datenschutzrechtliche Grundprinzip der Richtigkeit der Daten von Bedeutung, das die Verarbeitung von sachlich richtigen, aktuellen Daten personenbezogenen Daten vorsieht.

Wir werden uns auch – ähnlich wie bei Scoring-Verfahren – mit der Aussagekraft von solchen Bewertungen für die Beurteilung von Personen befassen müssen. Hier geht es darum, ob Schlussfolgerungen, die die KI selbst aufgrund des Datenbestandes zieht, auf Personen zutreffen und diskriminierungsfrei sind. Schließlich greift bei KI-Bewertungen von Person regelmäßig das datenschutzrechtliche Verbot der automatisierten Einzelentscheidung. Unsere Aufgabe sehe ich auch darin, dass wir genau hinschauen, ob individuelle Besonderheiten neben einer durch KI generierten Entscheidung ausreichend berücksichtigt werden.

Können Sie sich grundsätzlich Anwendungen oder Formen von KI vorstellen, die beim Datenschutz behilflich sind?

Das halte ich schon für vorstellbar. Ich habe aber noch nicht sehr intensiv darüber nachgedacht. Spontan fallen mir die Auskunftsansprüche nach Art. 15 DS-GVO ein. Ich halte es für denkbar, dass KI die auskunftspflichtigen Stellen bei der zügigen Erledigung dieser Auskunftsanfragen unterstützen könnte.

Der für die Digitalisierung zuständige Bundesminister Wissing will sich für einen gesetzlichen Rahmen für den Einsatz von KI einsetzen. Die EU arbeitet daran. Welche Rolle könnten die Aufsichtsbehörden im Gesetzgebungsverfahren einerseits, in der Umsetzung anderseits spielen.

Der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss haben zum Entwurf der Kommission für eine KI-Verordnung Position bezogen. Leider vollzieht sich das nun laufende Trilogverfahren zwischen Rat, Parlament und Kommission, das am Ende dem Gesetz die abschließende Kontur verleiht, weitgehend ohne die Möglichkeit, weitere Datenschutzexpertise zu beabsichtigten Änderungen am Ausgangsentwurf einzubringen.

Im Rahmen unserer Zuständigkeiten werden wir Datenschutzaufsichtsbehörden zu bewerten haben, ob KI-Verfahren Datenschutzvorschriften verletzen. Ich habe da bereits die Knackpunkte angesprochen. Möglich ist auch, dass die Datenschutzaufsichtsbehörden weitere Zuständigkeiten erhalten, die sich aus der beabsichtigten KI-Verordnung ergeben werden. Soweit die Datenschutzaufsichtsbehörden nicht selbst Aufgaben nach der KI-Verordnung erhalten, sind sie gefordert, mit der oder den zuständigen Behörden nach der KI-Verordnung eng zusammenzuarbeiten, denn die datenschutzrechtliche Überwachung von Verfahren bleibt bei den Datenschutzaufsichtsbehörden.

Die Verunsicherung rund um KI scheint darin begründet zu sein, dass es sowohl ein Schutzbedürfnis (der persönlichen Daten) gibt, als auch ein Bedürfnis, alles (elektronisch) verfügbare Wissen nutzen zu wollen. Ein Blick in die Glaskugel: Wenn heute das Schutzbedürfnis dominiert – wird sich das in zehn Jahren geändert haben?

Ehrlich gesagt finde ich gar nicht, dass das Schutzbedürfnis dominiert. Ich sehe uns Datenschützer*innen momentan eigentlich eher mit der Forderung konfrontiert, beim Datenschutz Abstriche zu machen, damit mehr – auch personenbezogene – Daten für das Training von KI zur Verfügung stehen. Meine Glaskugel sagt mir, dass die Forderung nach mehr Schutz der Menschen erst dann wieder allgemein stärker wird und das Verständnis für den Datenschutz wächst, wenn KI offensichtlich zu falschen Ergebnissen oder spürbar ungerechten Maßnahmen führt. Wir Datenschutzaufsichtsbehörden werden uns im Rahmen unserer Zuständigkeiten auch schon jetzt darum bemühen, dass KI-Anwendungen nicht zum Einsatz kommen, wenn sie die Datenschutzrechte der von dem jeweiligen Verfahren Betroffenen verletzen.